Новая угроза в мире кибербезопасности: Continuation Flood атакует серверы через HTTP/2

В последние дни февраля 2024 года сообщество кибербезопасности столкнулось с неожиданной и весьма серьезной угрозой - серией уязвимостей в протоколе HTTP/2, которые были объединены под наименованием "Continuation Flood". Эти уязвимости открывают дверь для атак типа "отказ в обслуживании" (DoS), при этом для дестабилизации работы веб-серверов может быть достаточно единственного TCP-соединения, что делает угрозу особенно опасной.

Суть проблемы заключается в неправильной обработке и отсутствии должной проверки фреймов HTTP/2 CONTINUATION в некоторых реализациях протокола. Эксперт в области кибербезопасности Баркет Новотарски (Barket Nowotarski), первым обнаруживший и описавший эту уязвимость, указывает на то, что злоумышленники могут отправлять длинные последовательности данных в виде фреймов, не заканчивая их флагом END_HEADERS. В результате сервер может израсходовать все доступные ему ресурсы, пытаясь обработать такие запросы, что приведет к его сбою.

Серия идентификаторов CVE, присвоенных различным уязвимостям в имплементациях HTTP/2, показывает масштаб проблемы. В список затронутых продуктов и технологий входят популярные серверы и библиотеки, включая Node.js, Envoy, Tempesta FW, amphp/http и другие. Ряд ведущих разработчиков программного обеспечения и операционных систем, таких как Red Hat, SUSE Linux и Apache, уже подтвердили наличие уязвимостей и активно работают над их устранением.

Continuation Flood вызывает особую тревогу среди экспертов, поскольку превосходит по потенциальной опасности ранее известную проблему Rapid Reset, также связанную с HTTP/2. Новотарски подчеркивает, что ввиду широкого использования HTTP/2 в современных интернет-коммуникациях, значительная часть глобального веба может оказаться уязвимой перед этой относительно легко реализуемой атакой.